本申請公開了一種勒索軟件的識別方法、裝置和設備、安全處理方法。其中，該勒索軟件的識別設備包括：監控裝置，用于監控新建的進程；處理器，用于當監控到進程存在異常操作時，基于異常操作的操作行為，確定識別進程為勒索軟件對應的進程的識別閾值，當識別閾值滿足預設閾值時，將進程確定為勒索軟件對應的進程；其中，異常操作是指與預先獲取的勒索軟件對應的進程所執行的多個操作行為相匹配的操作。本申請解決了現有的勒索軟件的識別方法通過黑名單方式進行識別存在滯后，導致處理效率低的技術問題。

技術領域

本申請涉及網絡安全領域，具體而言，涉及一種勒索軟件的識別方法、裝置和設備、安全處理方法。

背景技術

隨著互聯網技術的發展，網絡已經成為人們生活和工作不可缺少的一部分?；ヂ摼W用戶通過計算機網絡可以獲取海量信息，并方便地與其他用戶進行溝通和交流，實現信息資源的共享。然而，計算機網絡技術的快速發展，使得網絡環境變得越來越復雜，網絡安全問題日益突出，勒索軟件是近年數量增加最快的網絡威脅之一。

勒索軟件通常會將用戶系統上文檔、郵件、數據庫、源代碼、圖片、壓縮文件等多種文件進行某種形式的加密操作，使之不可用，或者通過修改系統配置文件、干擾用戶正常使用系統的方法使系統的可用性降低，然后通過彈出窗口、對話框或生成文本文件等的方式向用戶發出勒索通知，要求用戶向指定帳戶匯款來獲得解密文件的密碼或者獲得恢復系統正常運行的方法。

目前，常用的勒索軟件的識別方法是通過黑名單的方式，將新建的進程的程序與文件與黑名單中的程序或文件進行比對，如果比對成功，則確定是勒索軟件的進程，禁止進程啟動。但是，由于黑名單是提前收集到的已知的勒索軟件的程序或文件，對于未知的勒索軟件存在滯后問題，會出現漏殺的情況，未知的勒索軟件一旦運行成功，即刻可對格式文件進行加密，如果受害用戶沒有提前備份數據，則無法恢復被加密的文件。

針對上述現有的勒索軟件的識別方法通過黑名單方式進行識別存在滯后，導致處理效率低的問題，目前尚未提出有效的解決方案。

發明內容

本申請實施例提供了一種勒索軟件的識別方法、裝置和設備、安全處理方法，以至少解決現有的勒索軟件的識別方法通過黑名單方式進行識別存在滯后，導致處理效率低的技術問題。

根據本申請實施例的一個方面，提供了一種勒索軟件的識別設備，包括：監控裝置，用于監控新建的進程；處理器，用于當監控到進程存在異常操作時，基于異常操作的操作行為，確定識別進程為勒索軟件對應的進程的識別閾值，當識別閾值滿足預設閾值時，將進程確定為勒索軟件對應的進程，其中，異常操作是與預先獲取的勒索軟件對應的進程所執行的多個操作行為相匹配的操作。

根據本申請實施例的另一方面，還提供了一種勒索軟件的識別方法，包括：監控新建的進程；當監控到進程存在異常操作時，基于異常操作的操作行為，確定識別進程為勒索軟件對應的進程對應的識別閾值，其中，異常操作是指與預先獲取的勒索軟件對應的進程所執行的多個操作行為相匹配的操作；當識別閾值滿足預設閾值時，將進程確定為勒索軟件對應的進程。

根據本申請實施例的另一方面，還提供了一種勒索軟件的識別裝置，包括：監控單元，用于監控新建的進程；第一確定單元，用于當監控到進程存在異常操作時，基于異常操作的操作行為，確定識別進程為勒索軟件對應的進程的識別閾值，其中，異常操作是指與預先獲取的勒索軟件對應的進程所執行的多個操作行為相匹配的操作；第二確定單元，用于當識別閾值滿足預設閾值時，將進程確定為勒索軟件對應的進程。

根據本申請實施例的另一方面，還提供了一種安全處理方法，包括：監控新建的進程；當監控到進程存在異常操作時，基于異常操作的操作行為，確定識別進程為勒索軟件對應的進程的識別閾值，其中，異常操作是指與預先獲取的勒索軟件對應的進程所執行的多個操作行為相匹配的操作；當識別閾值滿足預設閾值時，將進程確定為勒索軟件對應的進程；查殺勒索軟件對應的進程。